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Abstract 



The present invention describes a method and system for the secure transmission and storage of 
protectable information, in particular, of patient information, by means of a patient card. The data stored 
on the patient card are protected by cryptographic methods. The data can be decrypted only with the 
same patient card if a doctor is authorised and the patient has given his agreement. All information 
which the patient card needs in order to decide whether the doctor is authorised and the key for 
protecting the control data and the random key are held on the chip. The patient data can be freely 
transmitted to any storage medium. The chip controls both the access to the data and the encryption 
and decryption functions. Random keys, which are themselves stored encrypted together with the data 
ensure that every data record remains separate from every other and that only authorised persons can 
access it. Every patient card has its own record key. The system and method in accordance with the 
invention is not directed exclusively to patient data but can be applied to any protectable data to which 
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right of access is to be restricted. I I 
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Prufungsantrag gem. 5 44 PatG ist gestallt 

© Verfahren und System zum sicheren Obertragen und Speichern von schutzbaren Informationen 

(§) Die vorliegende Erfindung beschreibt ein Verfahren und 
System zum sicheren Obertragen und Speichern von schutz- 
baren Informationen, insbesondere von Patie rrten informa- 
tion mittels einer Patientenkarte. Die auf der Patientenkarte 
gespaicherten Daten warden durch kryptographi8che M$- 
thoden geachutzt. Nur dieselbe Patientenkarte kann die 
Daten wieder entochlusseln, wenn aich ein Arzt authentisiert 
und der Patient zugestimmt hat. Alle Informationen, die die 
Patientenkarte braucht, um zu entschaidan, ob der Arzt 
authentisiert ist, und die Schlussel zum Schutz der Verwal- 
tungsdaten und Zufallsschlussel sind im Chip anthatten. Die 
Patientendaten konnen frei auf jedes Spaichermedium uber- 
tragen warden. Der Chip kontrolliart aowohl dan Zugriff auf 
die Daten els auch die Ver- und Entschlusselungsfunktionen. 
" Zufaflsechlussel, die ihrerseits zusemmen mh den Daten 
P verschlusselt gespeichert warden, stellen sicher, da& jeder 
Datensatz vom anderen getrennt bleibt und da& nur eutori- 
sierte Personen zugrerfen konnen. Jade Patientenkarte hat 
ihren eigenan Satz Schlussel. Das erfindungsgema&e Sy- 
stem/Verfahren ist nicht nur auf Patientendaten gerichtet, 
sondem kann auf alle schutzenswerten Daten angewandt 
werden, auf die ein eingeschranktes Zugrrffsrecht einge- 
raumt werden soli. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren und System zum 
sicheren Obertragen und Speichern von schutzbaren 
lnformationen, insbesondere von Patienteninformatio- 
nen mittels eines Patientenkartensystems. 

Patientenkartensysteme sollen vor allem den Interes- 
sen des Patienten dienen. Die personenbezogenen me- 
dizinischen Daten eines Menschen, die auf der Patien- 
tenkarte gespeichert sind, sind besonders sensitiv und 
daher schutzenswert AuBerdem befinden sich Patien- 
ten oft in einer schwacheren Position und konnen ihre 
Schutzbelange nicht nachdriicklich vertreten. Deshalb 
mussen Gesetze und Vereinbarungen iiber den Ablauf 
verabschiedet werden, um die legalen und technischen 
Rahmenbedingungen zu schaffen, die es dem Patienten 
gestatten, die sensitiven Karten zu schutzen. 

Chipkarten bieten alle erforderlichen Kontrollmecha- 
nismen an, mit denen die Daten im nichtfluchtigen Spei- 
cher auf auf dem Chip geschutzt werden. Einerseits ist 
der Chip gegen physische Angriffe von auBen wirksam 
geschutzt, andererseits uberwacht ein Betriebssystem 
alle Zugriffe auf die Daten und weist Lese- und/oder 
Schreibversuche zuruck, wenn sich der Benutzer nicht 
authentisieren kann und/oder eine Benutzerkennung 
(PIN) eingeben kann. Der Chip verhindert also, daB man 
von auBen uber seine Datenleitungen irgendwelche ge- 
schiitzten Daten auslesen kann. Chipkarten werden we- 
gen ihrer anerkannt hohen Sicherheit vor allem im Fi- 
nanzbereich als Identifikationssystem eingesetzt 

Der optische Speicher der Optical Memory Chip 
Card verwendet eine den bekannten CDs oder CD- 
ROMS verwandte Technologic Sie sind wegen ihrer 
hohen Speicherkapazitat fur die Speicherung groBerer 
Datenmengen besonders gut geeignet Ein Nachteil die- 
ser Speicher besteht jedoch darin, daB es keinen physi- 
schen Schutz der Daten gibt; jeder der ein geeignetes 
Lesegerat besitzt, kann die Daten lesen. Trotzdem kann 
man die Daten logisch Schutzen, indem die Daten ver- 
schlusselt gespeichert werden. Die Verschliisselung von 
Daten wird auch mit dem Fachbegriff "Kryptographie" 
bezeichnet 

Das Problem aller symmetrischen Verschlusselungs- 
verfahren ist die geheime Schliisseiverteilung zwischen 
den beteiligten Parteien. Je groBer die Zahl der Teilneh- 
mer ist, die miteinander kommunizieren wollen, desto 
unuberwindlicher gestaltet sich das Problem der Schlus- 
selverwaltung. Es ware leicht zu losen, wenn alle Betei- 
ligten den gleichen Schliissel verwenden wurden; dann 
konnten aber alle gegenseitig lesen, was zwei Teilneh- 
mer einander verschliisselt ubermitteln, und im Falle 
eines erfolgreichen Angriffs von auBen auf diesen einen 
Schlussel ware das gesamte System of fen. Wenn jeder 
Teilnehmer seinen eigenen Schlussel verwenden wurde, 
bliebe ein erfolgreicher Angriff auf einen Schlussel auf 
die Nachrichten beschrankt, die dieser eine Schlusselin- 
haber sendet und empfangt Die anderen Schlusselinha- 
ber bleiben geschutzt 

Das Problem des Schlusseiaustauschs ist noch proble- 
rnatischer, wenn es nicht um einen Sender und mehrere 
Empfanger geht, es sich also um eine 1 zu N-Beziehung 
handelt, sondern wenn es sich um eine n zu N-Bezie- 
hung handelt Beispielsweise kann jeder Arzt Sender 
einer Information sein, und jeder beiiebige andere aut- 
horisierte Arzt muB sie lesen konnen. Wie bereits darge- 
legt worden ist, sollten die Arzte auf keinen Fall einen 
im gesamten System benutzten Schlussel vereinbaren 
durfen, bevor sie die Kommunikation auf nehmen. Ande- 



rerseits steht nicht zu erwarten, daB alle teilnehmenden 
Arzte anfangs gegenseitig ihre Schlussel austauschen. 

Die Europaische Patentschrift EP 0668 578 be- 
schreibt ein Speicher- und selektives Informationssy- 
5 stem fur die Ubertragung von sensiblen Daten beste- 
hend aus einer optischen Speicherkarte, auf der ein 
raumlich definiertes Speicherfeld fur die ausschlieBliche 
Speicherung einer Vielzahl von mindestens je einem 
Schlusselbegriff zugeordneter Codes, mindestens einem 
10 Lese- und Schreibgerat fur die optische Speicherkarte 
mit einer Vielzahl von Schlusselerkennungsfunktionen, 
wobei je eine Schlusselerkennungsfunktion auf je eine 
von einer Vielzahl in dem Schreib-/Lesegerat enthalte- 
nen Formatierungsfunktionen verweist, und diese im 
is Zusammenwirken mit dem jeweils zugeordneten Code 
aktiviert, wobei jede Formatierungsfunktion auf ein Da- 
tenspeicherfeld der optischen Karte verweist und auf- 
grund der dazugehorenden Formatangaben zum Lesen 
der dort gespeicherten Daten qualifiziert Ein Nachteil 
20 dieses Verfahrens besteht darin, daB es einen Schlussel- 
bereich und einen Datenbereich auf dem optischen 
Speichermediurn gibt Es sind daher zwei unabhangige 
Zugriffe auf das optische Speichermediurn notwendig 
um den Schlussel und die Daten zu lesen. Das in 
25 EP 0668 578 beschriebene Verfahren verwendet feste 
Schlussel, d.h. die Schlussel werden nach einem be- 
stimmten Verfahren vom System vorgegeben. Das 
SchreibVLesegerat ist wesentlicher Bestandteil fur die 
Entscheidung, welcher Schlussel verwendet werden soil. 
30 Das hangt vom Code, den Formatisierungsfunktionen 
und den Entscheidungsfunktionen ab. Im xibrigen be- 
schrankt sich das vorliegende Verfahren nur auf opti- 
sche Speichermedien. 

Es ist daher Aufgabe der vorliegenden Erfindung ein 
35 System und Verfahren zur Obertragung von schutzens- 
werten lnformationen vorzuschlagen, das einen maxi- 
malen Austausch der schutzenswerten lnformationen 
zwischen einer Vielzahl von Benutzern zulaBt, jedoch 
hierbei sicherstellt, daB das System/Verfahren die Ein- 
40 gabe als auch das Lesen der schutzenswerten lnforma- 
tionen nur den Benutzern erlaubt, die hierfur autorisiert 
sind. 

Diese Aufgabe wird durch die Merkmale der unab- 
hangigen Anspruche gelost Vorteilhafte Ausfuhrungs- 
45 formen der vorliegenden Erfindung sind in den Unter- 
anspruchen niedergelegt 

In der vorliegenden Erfindung werden die verschlus- 
selten Daten und der dazugehorige Schlussel zusammen 
in einer Datei gespeichert Dadurch konnen die yer- 
50 schlusselten Daten unabhangig vom Speichermediurn, 
in dem sie anfanglich niedergelegt worden sind, ohne 
Sicherheitsrisiko Uberall hin gespeichert werden, z. B. in 
einem Computer, in einer Datenbank oder konnen iiber 
ein Netzwerk verteilt werden. Innerhalb der Datei kon- 
55 nen Datentypen unterschiedlicher Geheimhaltungsstu- 
fen niedergelegt werden, deren Lesen oder Schreiben 
nur mit bestirnmten Zugangsberechtigungen moglich 
ist Die Daten werden mit einem Zufallsschlussel ver- 
schliisselt abgespeichert Der Zufallsschlussel seiner- 
60 seits wird in der Chip-Karte verschliisselt und mit den 
Daten abgespeichert Dadurch wird ein systematisches 
EntschlQsseln der Daten wesentlich erschwert Die 
Schlusselerzeugung erfolgt ausschlieBIich auf der Chip- 
Karte. Der Berechtigte hat daher immer die voile Kon- 
65* trolle uber den Zugriff zu seinen Daten. 

Im folgenden wird ein bevorzugtes Ausfahrungsbei- 
spiel der vorliegenden Erfindung an Hand yon Zeich- 
nungen naher dargestellt und erlautert, wobei 
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Fig. 1 eine schematische Darstellung der erfindungs- 
gemaBen Dateistruktur und 

Fig. 2 ein FluBdiagramm des Lese-und Schreibvor- 
gangs in dem erfindungsgemaBen Informations- und 
Ubertragungssystem zeigt. 

Fig. 3 die Funktionsweise des erfindungsgemaBen In- 
formations- und Obenragungssystems an Hand der er- 
forderlichen Hardware zeigt. 

Fig. 1 zeigt den Aufbau der erfindungsgemaBen Da- 
teistruktur bestehend aus dem Datenkopf und dem Da- 
tensatz. Der Datenkopf besteht beispielsweise aus den 
Verwaltungsdatenfelder 1—7. Der Datensatz kann aus 
mehreren Datentypen 1-n bestehen, die im Datensatz 
niedergelegt sind. Jedem Datentyp ist rnit einem eigenen 
Zufallsschlussel verschlusselt. Diese Zufallsschlussel und 
ein Teil der Verwaitungsdaten, der geschutzt werden 
soli, werden ihrerseits mit einem f esten, auf der Chipkar- 
te gespeicherten Schlussel verschlusselt. Die Chipkarte 
selbst verschlusselt die Verwaitungsdaten und die Zu- 
fallsschlussel; deshalb verlaBt der geheime feste Schlus- 
sel nie die Chipkarte. 

In den Verwaltungsfeldern 1 und 7 wird z. B. die Ge- 
heimhaltungsstufe der in der Datei enthaltenen Daten- 
typen festgelegt, d. h. jede Datentype wird durch eine 
eigene Gehsimhaltungsstufe mit dazugehorigem 
Schlussel charakterisiert Es gibt Datentypen, die immer 
lesbar sein sollen, wie z. B. Notfalldaten. Dann gibt es 
Datentypen, die nur mit Zustimmung des Patienten ge- 
lesen und/oder nur bestimmten Benutzergruppen zu- 
ganglich sein durfen. Welche Daten in welchen Daten- 
typ eingeordnet werden, hangt von den datenschutz- 
rechtlichen Vorschriften der jeweiligen Lander ab. Im 
Regelfall werden die jeweiligen Datentypen nur be- 
stimmten Benutzergruppen zugreifbar sein. Zum Bei- 
spiel sollen Apotheker nur auf Daten zugreifen konnen, 
die sie fur ihre Tatigkeit bendtigen. In den Verwaltungs- 
feldern werden die berechtigten Benutzergruppen, die 
Zugang zu dem jeweiligen Datentyp haben, festgelegt 
Zum Beispiel kann festgelegt werden, daB die Apothe- 
ker nur auf Rezepte und Hinweise von Arzt en auf Kon- 
traindikationen zugreifen kdnnen. Es konnen daher bei- 
spielsweise folgende Datentypen festgelegt werden: 

Datentyp 0 — Daten sind immer lesbar — Daten sind 
nicht verschlusselt 

Datentyp 1 — Daten sind nur nach Eingabe der PIN- 
Nummer des Patienten lesbar. 

Datentyp 2 — Daten konnen nur nach Authentisie- 
rung vom Arzt eines beliebigen Fachgebietes und nach 
Eingabe der Patienten-PIN gelesen werden. 

Datentyp 3 — wie Datentyp 2; hier kommt hinzu, daB 
die Daten nur von einem Arzt eines bestimmten Fach- 
gebietes gelesen werden kdnnen. 
Datentyp 4 — Fur spatere Benutzung reserviert. 
Datentyp 5 — Die Daten konnen z. B. sowohl von 
einem Arzt und einem Apotheker usw. gelesen werden 
ohne daB die Patienten-PIN erforderiich ist. Dieser Da- 
tentyp kann an Mitglieder einer bestimmten Gruppe 
gerichtet sein, z. B. nur an Rdntgenfacharzte, Apotheker 
oder an alle. Es konnen auch mehrere exakt spezifizierte 
Zielgruppen als Liste angegeben werden. 

Die genannten Datentypen werden im Datensatz ge- 
trennt voneinander abgelegt AuBerdem mussen Daten 
verschiedener Facharztgruppen oder Daten, die nur fur 
eine bestimmte Zielgruppe gedacht sind, jeweils in ge- 
trennten Dateien gehalten werden. 

Zu jedem Datensatz gehoren Verwaitungsdaten, aus 
denen unter anderem der Datensatztyp (Notfalldaten/ 
Apothekerdaten/klinische Daten), die enthaltenen Da- 
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tentypen 0. . .5, die Fachrichtung des Arztes, der den 
Datensatz geschrieben hat, sein Name, seine Identifizie- 
rung, Datum, Zeii sowie die Zielgruppe der Daten, her- 
vorgehen. Die Zielgruppe, welche die Daten lesen darf, 
kann auch mit "alle" gekennzeichnet sein. Jeder Daten- 
typ ist mit einem eigenen Zufallsschlussel verschlusselt 
Diese Zufallsschlussel und ein Teil der Verwaitungsda- 
ten, der geschutzt werden soil, werden ihrerseits mit 
einem festen, auf der Chipkarte gespeicherten Schlussel 
verschlusselt. Die Chipkarte selbst verschlusselt die 
Verwaitungsdaten und die Zufallsschlussel; deshalb ver- 
laBt der geheime feste Schlussel nie die Chipkarte. Nur 
der Chip selbst entschlusselt die Verwaitungsdaten und 
Zufallsschlussel, nachdem er gepruft hat, ob der Arzt 
entweder fur die in den Verwaltungsinformationen ent- 
haltene Zielgruppe authentisieren konnte, Gehort der 
Arzt nicht dieser Zielgruppe an, darf er nur mit Einver- 
standnis des Patienten auf diese Daten zugreifen. 

Fig. 2 beschreibt in der Form eines FluBdiagramms 
die einzelnen Schritte beim Lesen und Schreiben der 
Daten. Voraussetzung fur das Lesen und Schreiben von 
Daten mittels des erfindungsgemaBen Sy stems /Verf ah - 
rens sind Patientenkarte, Benutzerkarte, LeseYSchreib- 
gerat und ein Computersystem zur Steuerung des Ver- 
fahrens. Als Patientenkarte eignet sich insbesondere die 
optische Chipkarte. Es kommt auch jede andere Chip- 
karte in Betracht Diese Patientenkarte besteht vor- 
zugsweise aus einem optischen Massenspeicher und ei- 
nem Chip, der die kryptographischen Funktionen ent- 
30 halt. Der Chip einer optischen Chipkarte dient weiterhin 
als der geschutzte Nachrichtenweg, auf dem zwei Par- 
teien Schlussel ubertragen konnen, weil er Schlussel si- 
cher aufbewahrr Jede Patientenkarte enthalt ihren eige- 
nen Satz Schlussel, die nicht einmal dem Kartenheraus- 
geber bekannt zu sein brauchen. Die Patientenkarte 
gibt die Schlussel nie nach auBen. Die Patientenkarte 
bJockiert die Ver- und Entschliisselungsfunktionen so- 
lange, wie sich ein Arzt ihr gegeniiber nicht vorschrift- 
maBig authentisiert 

Beim Lesen einer Datei muB der Arzt im Besitz einer 
Benutzerkarte sein. Die Benutzerkarte legitimiert den 
Arzt als zugelassenen Arzt eines bestimmten Fachge- 
bietes. Die Benutzerkarte wird von einenr Lesegerat 
oder Lese-/Schreibgerat gelesen. Die Benutzerkarte ist 
45 technisch nicht bet jeder Legitimation unbedingt erfor- 
deriich, da die Benutzergruppeninformation des Arztes 
bereits im Arztsystem in sicherer Form niedergelegt 
sein kann. Weiterhin ist erforderiich, daB der Patient 
seine Patientenkarte in ein Lese/Schreibgerat fuhrt. Ist 
der Arzt authentisiert, off net ihm das System zuerst den 
Zugriff auf Daten, die jeder Benutzergruppe zugangiich 
sind. Diese Daten sind auch nicht verschlusselt (Notfall- 
daten). 

Mochte der Arzt Zugriff auf geschutzte Daten, muB 
die Benutzerkarte die Information enthalten,zu welcher 
Benutzergruppe der Arzt gehort (z. B. Hautarzt, Lun- 
genarzt usw.). Hierbei entnimmt das System von der 
Benutzerkarte die entsprechende Information zu, wel- 
cher Benutzergruppe der Benutzer gehort, und ruft ei- 
6o nen Authentisierungsbefehl der Patientenkarte gegen- 
iiber auf. Die Patientenkarte verifiziert, ob der Benutzer 
zu der behaupteten Benutzergruppe gehort und halt 
diese Information auf der Patientenkarte. Ein Benutzer 
kann zu mehreren Benutzergruppen gehdren. Das Sy- 
stem liest dann eine Datei, die medizinische Daten des 
Patienten enthalt, und trennt die Datei in Datenkopf und 
Datensatz. Daraufhin wird der Datenkopf mit den Ver- 
waitungsdaten mit einem Entschlusselungs-Befehl an 
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die Patientenkarte iibertragen. Bevor die Patiemenkar- 
te den Datenkopf emschlusselt, priift sie, ob eine Au- 
thentisierung vorliegt Im Falle, daB eine Authentisie- 
rung vor liegt und der Benutzer mit der Benutzergruppe 
der Zielgruppe des Datenkopfes identisch ist, gibt sie 
den entschlusselten Datenkopf an das System zuruck. 
Das System nimmt den gewiinschten Schlussel aus dem 
Datenkopf und sendet ihn an die Patientenkarte zur 
Entschliisselung. Der entschliisselte Schlussel wird an 
das System zuriickgegeben, wobei das System nun mit 
einem eigenen Entschiiisselungsprogramm den Daten- 
satz des entsprechenden Datentyps entschliisselt 

Beim Schreiben von Daten ist es genau umgekehrt, 
mit dem Unterschied, daB die Schlussel von einem Da- 
tenschlusselgenerator auf der Patientenkarte erzeugt 
werden. Damit verschliisselt das System zuerst den Da- 
tensatz, wobei jeder Datentyp im Datensatz mit eige- 
nem Zufallsschliissel verschliisselt wird Dann werden 
die Schlussel an die Patientenkarte zur Verschliisselung 
gesendet Dann wird der Datenkopf aufgebaut und das 
System schickt den Datenkopf ebenfails zur Verschliis- 
selung an die Patientenkarte. 

Das Ergebnis ist ein verschliisselter Datensatz mit 
verschlusseltem Schlussel und verschlusselte Verwal- 
tungsdaten, die zum Zugriff auf die Daten auch erfor- 
derlich sind. 

Zum Beispiel kann festgelegt sein, daB nur Arzte das 
Recht haben, auf der Patientenkarte medizinische Da- 
ten abzulegen oder daB Apotheker nur ein einge- 
schranktes Schreiberecht haben und nur ihre fachbezo- 
genen Daten schreiben und lesen konnen. So konnen sie 
ein Rezept loschen, wenn sie ein Medikament verkauft 
haben, konnen Anmerkungen zu Hersteller und Char- 
gennummer festhalten und Ahnliches. Der Patient muB 
immer zuerst zustimmen, bevor der Arzt medizinische 
Daten auf die Karte schreiben will Der Arzt hat deshalb 
die Verantwortung, dem Patienten zu erklaren, was er 
auf die Karte schreiben mochte, damit der Patient hier- 
zu seine Zustimmung/Ablehnung geben kann. 

Wenn ein Arzt Daten auf eine Patientenkarte schrei- 
ben mochte, muB er sich ais Arzt authentisiert haben. 
Dies geschieht wie beim Lesevorgang durch die Benut- 
zerkarte. Aus der Benutzerkarte ergibt sich auch die 
jeweilige Facharztgruppe. Der Patient muB sich durch 
Eingabe seiner PIN-Nummer ebenfails als berechtigte 
Inhaber der Patientenkarte legitimiert und seine Zu- 
stimmung gegeben haben, bevor der Arzt eine Datei 
schreiben kann. Anhand des verwendeten Authentisie- 
rungsschliissels stellt die Patientenkarte fest, daB es sich 
um einen Arzt einer bestimmten Facharztgruppe han- 
delt Ein Arzt kann auch im Besitz mehrerer Authenti- 
sierungsschliissel sein, wenn er Facharzt in mehreren 
Gebieten ist. 

Dieser verschlusselte Datensatz mit verschlusselten 
Schlussel und verschlusselten Verwaltungsdaten kann 
nun auf optische Speichermedien oder den Chip der 
Optischen Speicherkarte geschrieben werden, in einem 
Computer gespeichert werden oder uber ein Netz ver- 
sendet werden. Ein Arzt kann nur unter Mitwirkung 
derselben Patientenkarte wieder auf die Daten zu- 
greifen. Es besteht auch die Moglichkeit, die Daten von 
einer optischen Chip-Karte zu archivieren und bei Ver- 
lust der Originalkarte ein Duplikat herzustellen. 

Fig. 3 zeigt den grundsatzlichen Aufbau eines Infor- 
mations- und Obertragungssystems fiir die Speicherung 
und Ubertragung von schiitzbaren Daten, insbesondere 
Patientendaten. Das System besteht im wesentlichen 
aus einem Computer, einem SchreibVLesegerat fiir die 
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Patientenkarte, einer Patientenkarte, einem Schreib- 
/Lesegerat fur die Benutzerkarte und einer Benutzer- 
karte. Es ist technisch ebenfails moglich, sowohl fur die 
Patientenkarte als auch die Benutzerkarte ein einziges 
5 Schreib/Lesegerat einzusetzen. Die Patientendaten 
werden entweder auf der Patientenkarte gespeichert 
oder konnen auf jedem anderen beliebigen Speicherme- 
dium niedergelegt werden Im Falle, daB die Patienten- 
daten auf der Patientenkarte niedergelegt sind, wird 
10 vorzugsweise ein optischer Massenspeicher eingesetzt. 
Die Patientenkarte ist vorzugsweise eine Chipkane mit 
einem optischen Massespeicher. Sie ist immer zum 
Schreiben und Lesen von Daten notwendig. Auf der 
Patientenkarte sind folgende wesentliche Daten/Funk- 
15 tionen niedergelegt: Authentisierungsschliissel fiir die 
jeweiligen Benutzergruppen, Verschliisselungsschlussel 
fur die Datenschltissel, Verschliisselungsschlussel fiir 
den Datenkopf, Generator fur die Erzeugung von Da- 
tenschliissel und Ver- und Entschlusselungsf unktionen. 
20 Die vorliegende Erfindung wurde am Ausfiihrungs- 
beispiel Patientenkarte ausfuhrlich beschrieben. Es er- 
gibt sich jedoch ohne weiteres, daB das erfindungsgema- 
Be SystenWerfahren auch auf alle schiitzenswerten Da- 
ten angewandt werden kann, wo ein eingeschranktes 
25 Zugriffsrecht auf bestimmten Daten einer Person, Un- 
ternehmens, Bank, einer Behorde oder sonstigen Ein- 
richtung eingeraumt werden soli. Dies gilt insbesondere 
fur Anwendungen mit folgenden Rahmenbedingungen: 

30 — der Eigentiimer von Daten verschiedene Sicher- 
heiustufen einrichten und verwenden kann, 

— die Daten jeweils nur einer bestimmten Ziel- 
gruppe oder einer Anzahl von Zielgruppen zugang- 
lich gemacht werden sollen, 

35 — bei bestimmten Sicherheitsstufen eine Authenti- 
sierung des Leseberechtigten erzwingen kann (z. B. 
mit der Benutzerkarte), 

— bei bestimmten Sicherheitsstufen eine Identifi- 
kation und Zustimmung des Chipkartenbesitzers, 

40 z. B. uber eine PIN-Eingabe, erzwingen kann. 

Als Beispiel fiir die Anwendung der vorliegenden Er- 
findung koramt eine Chip-Bankkarte in Betracht, in der 
die Anlagewerte einer Person oder Firma niedergelegt 
45 sind. So konnte def Inhaber dieser Chip-Bankkarte den 
jeweiligen Banken nur ein eingeschranktes Zugriffs- 
recht einraumen. Als weiteres Beispiel kame auch eine 
Chip-Kxeditkarte in Betracht Die vorliegende Erfin- 
dung kann daher ohne jegliche Anderung des erfin- 
50 dungsgemaBen Verf ahrens/Systems auf alle Anwendun- 
gen zur Speicherung und Obertragung von schiitzbaren 
Daten angewandt werden. 

Die vorliegende Erfindung wird nochmals kurz zu- 
sammengefaBt Die auf der Patientenkarte gespeicher- 
55 ten Daten werden durch kryptographische Methoden 
geschiitzt. Nur dieselbe Patientenkarte kann die Daten 
wieder entschliisseln, wenn sich ein Arzt authentisiert 
und der Patient zugestimmt hat. Alle Informationen, die 
die Patientenkarte braucht, um zu entscheiden, ob der 
60 Arzt authentisiert ist, und die Schlussel zum Schutz der 
Verwaltungsdaten und Zufallsschlussel sind im Chip 
enthalten. Die Patientendaten konnen, mussen aber 
nicht, auf dem Chip niedergelegt sein. Der Chip kontrol- 
liert sowohl den Zugriff auf die Daten als auch die Ver- 
65 und Entschlusselungsf unktionen. Zufallsschlussel, die ih- 
rerseits verschliisselt zusammen mit den Daten gespei- 
chert werden, stellen sicher, daB jeder Datensatz vom 
anderen getrennt bleibt und daB nur autorisierte Perso- 
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nen zugreifen konnen. Jede Patient enkarte hat ihren 
eigenen Satz Schlussel. Solite der Zufallsschlussel fur 
einen Datensatz gebrochen werden, bleiben die anderen 
Datensatze auf der Kane sowie alle anderen Karten im 
System davon unberuhrt. Wenn der Schlussel zum Ver- 5 
schlusseln der Zufallsschlussel einer Patientenkarte ge- 
brochen wiirde, waren die Daten aller anderen Karten 
im System weiterhin sicher. 

Die zur Authentisierung verwendeten Schlussel in 
den Patientenkanen sind von einem Merkmal der Pa- 10 
tientenkarte abgeleitet und daher in jeder Patientenkar- 
te unterschiedlich. Wenn eine Patientenkarte gebrochen 
wiirde, lagen damit immer noch nicht die im System 
verwendeten Schlussel selbst offen. 

Angehorige der Heilberufe authentisieren sich ge- 15 
geniiber der Patientenkarte mit ihrer Benutzerkarte. 
Die Benutzerkarte enthalt einen Satz Gruppenschlussel, 
die der Systembetreiber definiert Nur wenn sich ein 
Arzt mit einem Schlussel authentisiert und der Patient 
mit seiner PIN-Nummer zugestirnmt hat, kann der Arzt 20 
auf die Daten zugreifen. Die Gruppenschlussel unter- 
scheiden sich entsprechend ihren Aufgaben im Heilbe- 
ruf und nach arztiicher Fachrichtung. 

Daten konnen je nach Schutzbedurfnis unterschied- 
lich klassifiziert werden. Die Klassen unterscheiden sich 25 
darin, ob eine Authentisierung der Benutzer erforder- 
lich ist oder nicht und ob der Patient zustimmen muB 
oder nicht 

Patentanspruche 30 

1. Speicher- und Infonnationsubermittlungssystem 
zumindest enthahend 

ein Computer, verbunden mit 

einem Authentisierungsterminal, mittels dessen ei- 35 
ne Authentisierung eines Benutzers ausf uhrbar ist 
ein SchreibVLeseterminal, mittels dessen Daten 
zwischen dem Computer und einer Chipkarte, die 
einem Inhaber zuordenbar ist, austauschbar sind, 
und 40 
mindestens ein Speichermedium, 
wobei zwischen dem Computer und dem Speicher- 
medium Daten austauschbar sind, dadurch ge- 
kennzeichnet, daB eine Chipkarte mit einem Gene- 
rator enthalten ist, mittels dessen bei jeder Anfor- 45 
derung eines kryptografischen Schlussels durch 
den Computer jeweils ein neuer kryptografischer 
Schlussel erzeugbar ist 

2. Speicher- und Informationsubermittlungssystem 
nach Anspruch 1. dadurch gekennzeichnet daB 50 
ein Identifikationsterminal enthalten ist, welches 
mit dem Computer verbunden ist, 

wobei mittels des Identifikationsterminals eine Si- 
cherung, insbesondere ein PaBwort oder eine per- 
sonliche Identifikationsnummer oder biometrische 55 
Identifikationsmethoden, des Inhabers der Chip- 
karte eingebbar ist 

3. Speicher- und Informationsubermittlungssystem 
nach Anspruch 1, dadurch gekennzeichnet, daB eine 
Authentisierungskarte, mit deren Hilfe die Authen- 60 
tisierung ausfuhrbar ist, enthalten ist 

4. Speicher- und Informationsubermittlungssystem 
nach Anspruch 1, dadurch gekennzeichnet, daB das 
Speichermedium auf der Chipkarte angeordnet ist 

5. " Speicher- und Informationsubermittlungssystem 65 
nach Anspruch 1, dadurch gekennzeichnet, daB das 
Speichermedium als Festplattenspeicher ausfuhr- 
bar ist 
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6. Speicher- und Informationsubermittlungssystem 
nach Anspruch 1, dadurch gekennzeichnet daB das 
Speichermedium ais optischer Speicher ausfuhrbar 
ist 

7. Speicher- und Informationsubermittlungssystem 
nach Anspruch 1, dadurch gekennzeichnet daB das 
der Computer in einem Computer-Netzwerk ange- 
ordnet ist und das Speichermedium einem beliebi- 
gen Computer im Netz zugeordnet ist 

8. Verfahren zum Speichem von lnformationen auf 
mindestens einem Speichermedium mit Hilfe einer 
Chipkarte, enthaltend folgende Schritte: 
Authentisieren eines Benutzers mittels eines Identi- 
fikationsmerkmals, der einer Benutzergruppe zu- 
geordnet ist, 

Anfordern eines oder mehrere kryptographischen 
Schlussel durch einen Computer von der Chipkarte, 
Obertragen des(der) kryptographischen Schlussels 
von der Chipkarte zu dem Computer, 
Verschlusseln von Daten mittels des kryptografi- 
schen Schlussels in dem Computer, 
Verschlusseln des kryptographischen Schlussels in 
der Chipkarte und 

Speichem des verschlusselten Datensatzes mit den 
verschlusselten Schlusseln im Speichermedium. 

9. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet, daB die Authentisierung mittels eines Au- 
thentisierungsterminals, welches mit dem Compu- 
ter verbunden ist und einer Authentisierungskarte, 
die in das Authentisierungsterminal " eingefuhrt 
wird, ausgef iihrt wird. 

10. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet daB eine Sicherung, insbesondere eine 
personliche Identifikationsnummer oder ein Pass- 
wort oder biometrische Identifikationsverfahren, 
eingegeben werden. 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet, daB die Sicherung eingegeben werden 
kann, bevor die Chipkarte Ver- bzw. Entschlussel- 
ungsfunktionen ausfuhrt 

12. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet, daB der kryptographische Schlussel mit 
Hilfe eines Kartenschlussels verschlusselt wird, wo- 
bei der Kartenschlussel auf der Chipkarte angeord- 
net ist 

13. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet, daB im Computer zu jedem Datensatz ein 
Datenkopf erzeugt wird, wobei dem Datenkopf ins- 
besondere zu entnehmen ist, welcher Benutzer- 
gruppe der Schreibende zugeordnet wird oder wel- 
che Anforderungen zum Lesen des Datensatzes 
vorliegen mussen. 

14. Verfahren nach den Anspruchen 12 und 13, da- 
durch gekennzeichnet daB der mittels des Karten- 
schlussels verschlusselte kryptographische Schliis- 
sel in dem Datenkopf angeordnet wird. 

15. Verfahren nach Anspruch 14, dadurch gekenn- 
zeichnet, daB der verschlusselte Datenkopf und der 
verschlusselte Datensatz zu einer Datei zusammen- 
gefugt werden und diese Datei in dem Speicherme- 
dium gespeichert wird 

16. Verfahren nach Anspruch 8, dadurch gekenn- 
zeichnet daB der Computer in einem Computer- 
netzwerk angeordnet ist und das Speichermedium 
einem beiiebigen Computer im Netz zugeordnet 
ist 

17. Verfahren zum Lesen von lnformationen von 
einem Speichermedium mit Hilfe einer Chipkarte, 
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cnthaltend folgende Schritte: 
Authentisieren eines Benutzers mittels eines Identi- 
fikationsrnerkmals, der einer Benutzergruppe zu- 
geordnet ist. 

Obertragen einer Datei von dem Speichermedium 5 
auf den Computer, 

Trennen der Datei in einen Datenkopf und einen 
verschJiisselten Datensatz, 

Obertragen des Datenkopfes vom Computer auf 

die Chipkarte, 10 

Entschlusseln des Datenkopfes mittels eines Kar- 

tenschlusseis auf der Chipkarte, 

Obertragen des entschlusselten Datenkopfes von 

der Chipkarte zu dem Computer, 

Ermitteln der Zielbenutzergruppe aus dem ent- 15 

schliisselten Datenkopf, 

Entschlusseln des verschJiisselten Datensatzes mit- 
tels eines kryptographischen Schliissels, wenn die 
Benutzergruppe des Benutzers und die Zielbenut- 
zergruppe des Datenkopfes identisch sind und/ 20 
oder sonstige frei bestimmbare Zugriffsbeschran- 
kungen erf ullt sind. 
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